WordPress-ի համար նախատեսված miniOrange-ի Social Login and Register plugin-ում անվտանգության կրիտիկական խոցելիություն է բացահայտվել, որը հաքերին կարող է թույլ տալ համակարգ մուտք գործել, քանի որ էլ. հասցեի վերաբերյալ օգտվողի կողմից տրամադրված ցանկացած տեղեկություն արդեն հասանելի է:
Խոցելիությունը որակվել է որպես CVE-2023-2982 (CVSS-ում միավորը՝ 9.8): Authentication bypass-ի շրջանցման խոցելիությունն ազդում է հավելվածի բոլոր տարբերակների վրա, ներառյալ՝ 7.6.4-ը:
«Խոցելիությունը հաքերին թույլ է տալիս մուտք գործել կայքի ցանկացած հաշիվ, ներառյալ այն հաշիվները, որոնք օգտագործվում են կայքը կառավարելու համար: Եթե իհարկե հաքերը գիտի կամ կարող է գտնել համապատասխան էլ. փոստի հասցեն», – ասում է Wordfence-ի հետազոտող՝ Իսթվան Մարտոնը:
Ուղղորդումներն հաջորդեցին LearnDash LMS plugin-ի վրա ազդող խոցելիության բացահայտմանը, որն ավելի քան 100,000 ակտիվ installation-երով WordPress plugin է և կարող է հաշիվ ունեցող ցանկացած օգտատիրոջ թույլ տալ վերականգնել կամայական գաղտնաբառ՝ ներառյալ ադմինիստրատորի հասանելիությունը:
Անվտանգության խոցելիության (CVE-2023-3105, CVSS-ում միավորը՝ 8.8) շտկումն արվել է 4.6.0.1 տարբերակում:
Շտկումների հիմնական փուլը սկսվեց այն բանից հետո, երբ Patchstack-ը մանրամասնեց UpdraftPlus plugin-ում (CVE-2023-32960, CVSS-ում միավորը՝ 7.1) առկա cross-site-ի կեղծման (CSRF) խոցելիությունը, որը հաքերին կարող է թույլ տալ մեծ քանակով կոնֆիդենցիալ տվյալներ գողանալ:
Աղբյուրը՝ https://thehackernews.com/